Kong Gatewayとは
背景
昨今、企業がデジタルトランスフォーメーション(DX)を推進し、多種多様なシステムやサービスをシームレスに連携する上で、APIはますます重要な存在になっています。APIを効果的に拡張、保護、最適化するには、堅牢なAPI管理プラットフォームが欠かせません。
さらに、多くの企業がクラウドネイティブなアプリケーションを実現するために、マイクロサービスアーキテクチャへの移行を進めています。この過程ではKubernetesなどの技術が採用され、API管理はより一層複雑化しています。
こうした課題を解決するために、APIへのリクエストを管理、設定、ルーティングできるリバースプロキシである「APIゲートウェイ」が重要な役割を果たします。
軽量、高速、柔軟なAPIゲートウェイ、「Kong Gateway」
Kong Gatewayの概要
Kong Gatewayは軽量、高速、柔軟なクラウドネイティブAPIゲートウェイです。海外の金融機関をはじめとする多数の企業で採用されています。また、日本国内でも導入実績を伸ばしており、オープンソースソフトウェア(OSS)版のKong Gateway(Kong Gateway (OSS) )はデジタル庁による推奨APIゲートウェイに選定されています。
Kong Gatewayは、Kong Inc.によって提供されており、OSSを基盤としたAPIソフトウェアのソリューションを展開しています。Kong Inc.は日本市場にも積極的に進出し、2023年11月にKong株式会社という日本法人を設立しました。Kong Inc.は、Kong Gateway (OSS) に加え、商用版で高度な機能を備えたKong Gateway Enterpriseや、SaaS型のAPI管理プラットフォームKong Konnectを提供しています。
Kong Gatewayのデプロイ構成
Kong Gatewayは、以下の4つの方法でデプロイできます。
| Traditionalモード | DB-less and declarativeモード |
|---|---|
|
各Kong Gatewayインスタンスが直接データベース(DB)に接続し、すべてのKong Gatewayインスタンスが同一のDBを共有する構成です。 
|
各Kong GatewayインスタンスがDBに接続せず、インメモリストレージのみで稼働する構成です。YAMLまたはJSONの設定ファイルを用いて設定を管理します。 
|
| Hybridモード | Kong Konnect |
|
Kong Gatewayインスタンスをデータプレーン[1]とコントロールプレーン[2]に分割した構成です。単一のコントロールプレーンに対して複数のデータプレーンが接続されます。 
|
Hybridモード同様にKong Gatewayインスタンスをコントロールプレーンとデータプレーンに分割した構成ですが、Kong Inc.がコントロールプレーンをホストします。これは、商用製品のKong Konnectのみで提供されます。 
|
Kong Gateway製品一覧
Kong Gateway (OSS)
Kong Gateway (OSS) は、APIゲートウェイの基本機能とオープンソースプラグイン[3]を含むオープンソースパッケージです。世界的に広く採用されており、最も人気のあるOSSのAPIゲートウェイとされています。
管理ツールとしては、RESTful Admin APIに加え、GUIを提供するKong Manager、構成管理ファイルを使用してAPIライフサイクル自動化(APIOps)を促進するためのコマンドラインツールであるdecKなどがあります。
また、最近では大規模言語モデル(LLM)へのトラフィック管理を実現する仕組みであるAI Gatewayの機能も実装されています。
Kong Gateway Enterprise
Kong Gateway Enterpriseは、Kong Gateway (OSS) の上位版であり、エンタープライズ向けに特化した充実した機能を備えています。具体的には、Kong Gateway (OSS) と比較して、以下の追加機能を提供します。
- RBAC:Kong Gatewayの管理機能においてRBAC(ロールベースのアクセス制御)を提供し、セキュリティを強化します。
- マルチテナンシー:クラスタを論理的に切り分け、テナント毎のアクセス権限を厳密に切り分ける事が可能です。
- エンタープライズプラグイン:高度な認証、流量制御、データ変換などの機能を提供します。詳細は「主な機能」をご覧ください。
- 高度なセキュリティ機能:シークレット管理や、FIPS 140-2サポートなどの機能を提供します。
Kong Konnect
Kong Konnectは、Kong Gatewayを一元管理できるSaaS型のAPI管理プラットフォームです。
Kong Inc.がクラウドでコントロールプレーンをホストし、データプレーンを任意のネットワーク環境でホストできる構成になっています。
Kong Inc.がコントロールプレーンをホストすることで、コントロールプレーン構築における、運用のオーバーヘッドを削減し、APIゲートウェイを容易に管理できるようにします。これにより、複雑さが軽減され、システムの柔軟性が向上します。
さらに、APIライフサイクル管理のために様々な機能が提供されています。Kong Konnectの提供機能の概要は以下の通りです。
- Gateway Manager:APIゲートウェイを管理するためのツールで、Kong Gatewayを迅速に設定します。
- Teams:ユーザ権限を管理する機能で、チームごとにアクセス権限を設定します。
- Analytics:Kong Gatewayの利用状況を把握し、状態を監視します。
- API Products:複数のAPI設定をひとまとめにして管理できるツールで、APIのバージョン管理やドキュメントの更新を行います。
- Dev Portal:アプリ開発者がAPIを見つけやすく、利用を容易にするためのポータルです。
- Service Catalog:組織内で管理するAPIや関連リソースの包括的なカタログを提供します。
- Mesh Manager:複数の環境にまたがってKong Mesh[4]を設定・管理します。
Kong Konnectでは、コントロールプレーンとデータプレーンの両方をKong Inc.がホストする構成も提供されています(Kong Dedicated Cloud Gateways)。
主な特徴
| 高い安定性と信頼性 | 強力なOSSがベース |
軽量、高速、柔軟であり、世界で最も採用されているOSSのAPIゲートウェイであるKong Gateway (OSS) 上に構築されています。 |
|---|---|---|
| 柔軟性 | 顧客用件に応じた細かいカスタマイズが可能 |
APIゲートウェイでは幅広い機能が求められるため、顧客要件に応じたカスタマイズが必要になる場合があります。Kong GatewayはKong Inc.が開発した強力なエンタープライズプラグインに加え、コミュニティが開発した1,000以上のオープンソースプラグインを利用して機能を拡張できます。Lua、Go、Rust、JavaScript、Pythonを利用した独自のプラグイン開発も可能です。OSSや商用製品に限らず、顧客要件に応じた細かなカスタマイズが可能であることが大きなメリットとなります。 |
| 汎用性 拡張性 |
マルチプラットフォーム |
クラウド、オンプレミス、Kubernetes、仮想マシンなど、あらゆる環境へデプロイ可能です。 |
さまざまな認証方式に対応 |
APIキー認証、Basic認証、OpenID Connect、SAML 2.0など様々な認証方式に対応しています。さらにより高いセキュリティレベルを要求されるFAPIにも対応しています。 |
|
リアルタイム一元管理 |
APIやKong Gatewayが提供するエンドポイントごとのエラー率やレイテンシーなどをリアルタイムで一元管理します。 |
|
複数リージョンに対応 |
コントロールプレーンをホストするリージョンを、オーストラリア、ヨーロッパ、中東、アメリカ、インドから選択できます。これにより、エンドユーザーと同様の地域でKong Konnectを運用することができ、またデータプライバシーとコンプライアンスを確保することができます。 |
|
シンプルなアーキテクチャ |
データプレーンとコントロールプレーンから構成されるシンプルなアーキテクチャであるため、軽量かつ管理が容易です。 |
主な機能
| 大分類 | 中分類 | 説明 | Kong Gateway (OSS) | Kong Gateway Enterprise | Kong Konnect |
|---|---|---|---|---|---|
| トラフィック制御 | 基本的な流量制御 |
一定期間内のリクエスト数を制限します。 |
〇 | 〇 | 〇 |
基本的なキャッシュ |
リバースプロキシキャッシュ機能を提供します。 |
〇 | 〇 | 〇 | |
ACL |
ACLを用いてアクセスを制御します。 |
〇 | 〇 | 〇 | |
高度な流量制御 |
高度なチューニング設定と、Sliding Window、Fixed Windowによるエンタープライズグレードの流量制御を行います。 |
× | 〇 | 〇 | |
高度なキャッシュ |
Redisへのキャッシュデータの保存をサポートします。 |
× | 〇 | 〇 | |
モック |
APIレスポンスをモックで提供します。 |
× | 〇 | 〇 | |
| 認証 | 基本的な認証 |
基本的なAPI認証(Basic、HMAC、APIキー)を提供します。 |
〇 | 〇 | 〇 |
高度な認証 |
エンタープライズグレードのAPI認証(完全なOAuth 2.0、OpenID Connect、mTLS、SAML2.0、JWE復号、JWT署名/設計、完全なLDAP)を提供します。 |
× | 〇 | 〇 | |
| セキュリティ | IP制限 |
IPアドレスによるアクセス制御をします。 |
〇 | 〇 | 〇 |
OPA |
Open Policy Agent(OPA)を使用した、ポリシーによる複雑なAPIのアクセス制御をします。 |
× | 〇 | 〇 | |
攻撃対策 |
インジェクション攻撃、JSON脅威攻撃等、外部の攻撃からサービスを防御します。 |
× | 〇 | 〇 | |
シークレット管理 |
Hashicorp VaultやAWS Secret Managerなどのシークレット管理ツールで鍵、証明書、パスワードを安全に保管・管理します。 |
× | 〇 | 〇 | |
| モニタリング&分析 | サードパーティー連携 |
Datadog、OpenTelemetry、Prometheusなどのサードパーティーと連携します。 |
〇 | 〇 | 〇 |
| 変換 | 基本的なデータ変換 |
リクエストまたはレスポンスのヘッダ、ボディ、クエリ文字列の追加と削除を提供します。 |
〇 | 〇 | 〇 |
高度なデータ変換 |
リクエストまたはレスポンスの高度なJSON変換と、変換を連鎖させる機能を持ちます。 |
× | 〇 | 〇 | |
Kafka連携 |
リクエストをKafkaメッセージに変換してKafkaにKongログを送信します。 |
× | 〇 | 〇 | |
GraphQL |
GraphQLクエリをRESTリクエストに変換します。GraphQLクエリを流量制御、キャッシュします。 |
× | 〇 | 〇 | |
| AI | 基本的なAIプロキシ機能 |
複数のAIプロバイダやモデルへのリクエストを変換して、LLMへのトラフィック管理を実現します。 |
〇 | 〇 | 〇 |
高度なAIプロキシ機能 |
セマンティックアルゴリズムを使用した、ロードバランシング、キャッシュ、プロンプトガード機能を提供します。 |
× | 〇 | 〇 | |
| 運用の効率性 | コントロールプレーンホスティング |
コントロールプレーンの管理における運用の複雑さとコストの低減をします。 |
× ※Self-managed |
× ※Self-managed |
〇 |
データベースホスティング |
データベースの管理における運用の複雑さとコストの低減をします。 |
× ※Self-managed |
× ※Self-managed |
〇 | |
コントロールプレーンとデータベースのSLA |
コントロールプレーンとデータベースのSLAが定められています。 |
× ※Self-managed |
× ※Self-managed |
〇 ※99.9% Uptime SLA |
|
| APIガバナンス | 管理者GUI |
GUIの管理ツールを提供します。 |
〇 | 〇 | 〇 |
RBAC |
ユーザのロールに基づき、Kong Gatewayの管理権限を制御します。 |
× | 〇 | 〇 | |
開発者ポータル |
開発者向けのAPIポータルを持ちます。 |
× | × | 〇 | |
API分析 |
利用状況を把握し、状態を監視するためのGUIを提供します。 |
× | × | 〇 | |
| デプロイモード | Traditionalモード |
Traditionalモードでデプロイできます。 |
〇 | 〇 | × |
DB-less and declarativeモード |
DB-less and declarativeモードでデプロイできます。 |
〇 | 〇 | × | |
Hybridモード |
Hybridモードでデプロイできます。 |
〇 | 〇 | 〇 | |
Kong Konnect |
Kong Konnectとしてデプロイできます。 |
× | × | 〇 | |
| サポートサービス | 年間サポート |
商用レベルの年間サポートを提供しています。ただし、Kong Gateway (OSS) に関してはKong社への問い合わせはできず、NRIによるサポートになります。 |
〇 | 〇 | 〇 |
Kong Gateway提供サービスの概要
これまでご説明した通り、お客様のビジネス環境や要件に応じて、APIゲートウェイに求められる機能や運用方法は多岐にわたります。Kong Gatewayは、これら多様なニーズに応えるため、OSS版、エンタープライズ版、そしてSaaS型ソリューションまで、幅広い製品ラインナップを取り揃えています。
NRIでは、こうしたKong Gatewayを活用し、お客様のご要望に応じてさまざまな支援ができるサービスをご用意しました。
1.Kong Gatewayの構築・導入を全面的にお願いしたい
NRIから要件定義、設計・構築、リリースまでご依頼される場合には、「導入サービス」をご利用いただけます。
| サービス名 | ご提供するサービス |
|---|---|
| 導入サービス | お客様のシステム要件に従ってお客様の環境にKong Gatewayを導入します。 |
2.Kong Gatewayの構築・導入を支援してほしい
お客様がご自身でKong Gatewayを企画・設計される場合には、「プロフェッショナルサービス」をご利用いただけます。
| サービス名 | ご提供するサービス |
|---|---|
| プロフェッショナルサービス | システム設計や開発(構築)の支援をはじめ、パフォーマンスチューニングや運用フェーズでの課題解決など、さまざまな場面で技術支援いたします。 |
3.構築したKong Gateway (OSS) について問い合わせをしたい
既に構築されたKong Gatewayに対して、本番環境で発生した製品課題を解決するための年間サポートサービスを提供いたします。
| サービス名 | ご提供するサービス |
|---|---|
| 年間サポートサービス(OSS) | Kong Gatewayの情報提供、ログ分析などの問い合わせサポートを行います。 |
4.Kong Gateway EnterpriseとKong Konnectについて販売をしてほしい&問い合わせをしたい
NRIが、Kong Gatewayの商用製品であるKong Gateway EnterpriseとKong Konnectの代理店販売と、それに付随した、年間サポートサービスを提供いたします。
| サービス名 | ご提供するサービス |
|---|---|
| 年間サポートサービス(商用版) | Kong Gateway EnterpriseとKong Konnectの情報提供、ログ分析などの問い合わせサポートを行います。 |
参考情報
- [1] データプレーン: APIトラフィックの処理とルーティングを提供します。トラフィックのプロキシ、モニタリング、ロギング、セキュリティ保護などの機能を持ちます。
- [2] コントロールプレーン: すべてのデータプレーンの設定を管理します。API構成管理、ノードへの構成データの配布、ノードの監視、管理インタフェースの提供などの機能を持ちます。
- [3] プラグイン: Kong Gatewayがロードするモジュールのことを「プラグイン」と呼びます。プラグインを利用することで、Kong Gatewayは流量制御、認証、セキュリティなど、多様な機能を提供します。
- [4] Kong Mesh: CNCFのKumaとEnvoyの上に構築され、シンプルさに重点を置いたエンタープライズグレードのサービスメッシュです。
OpenStandiaサービス
OSS利用の課題を解決し、企業にもたらすOSSのメリットを感じていただくためのさまざまなサポート&サービスメニューをご用意しています。